ByteDance ha più di sessantamila stelle su GitHub con DeerFlow e zero trasparenza su cosa fa TikTok con i tuoi dati. Tutto il paradosso è qui, condensato in una licenza MIT da un lato e un algoritmo di sorveglianza comportamentale che nessuno ha mai potuto ispezionare dall’altro. DeerFlow 2.0 — acronimo di Deep Exploration and Efficient Research Flow — è un framework open source che orchestra agenti AI capaci di fare ricerca, scrivere codice, generare report e creare presentazioni in completa autonomia. Un «SuperAgent», come lo definisce ByteDance, che scompone problemi complessi in sotto-task, li assegna a cinque agenti specializzati e li esegue in sandbox Docker isolate dal resto del sistema. Sulla carta è impressionante, e i numeri confermano l’entusiasmo: primo posto su GitHub Trending nel giro di ventiquattro ore dal rilascio della versione 2.0, quasi 64.000 stelle e oltre 8.000 fork accumulati in meno di due mesi dalla pubblicazione.
Il punto, però, non è se DeerFlow funzioni — funziona, e pure bene. La questione vera riguarda chi ti sta regalando il codice. ByteDance è la stessa azienda multata dalla Corea del Sud per aver trasferito dati degli utenti a server cinesi senza consenso. La stessa i cui bot rastrellano il web a una velocità venticinque volte superiore a quella di OpenAI. La stessa il cui prodotto di punta resta una macchina di profilazione di massa travestita da app di intrattenimento. Quando un colosso del genere ti dice «prendi, è gratis, è MIT», non puoi limitarti ad ammirare il pacchetto — devi chiederti cosa ci guadagna chi te lo fa, e se questa generosità improvvisa serva a costruire fiducia o a lavare una facciata che ne ha disperatamente bisogno.
Eppure DeerFlow merita attenzione proprio per la tensione irrisolta che incarna. È uno degli agenti AI più completi mai rilasciati con licenza libera: supporta qualsiasi modello compatibile con le API OpenAI — da GPT a Claude, da DeepSeek a Qwen — si installa in locale, funziona senza dipendere da alcun cloud proprietario. La versione 2.0, uscita a fine febbraio 2026, è una riscrittura da zero che non condivide una riga di codice con la prima versione. Il repository è attivissimo, con quasi duemila commit sul branch principale, centinaia di issue aperte e una community che cresce giorno dopo giorno. Il codice c’è, la licenza è permissiva, il potenziale è enorme. La fiducia, quella è tutta un’altra faccenda.
Come funziona DeerFlow: anatomia di un SuperAgent
DeerFlow non è un chatbot e non è un wrapper attorno a un modello linguistico — è un sistema di orchestrazione multi-agente costruito su LangGraph, il framework di LangChain per workflow a grafo stateful. L’architettura scompone compiti complessi in pipeline parallele e le distribuisce a cinque ruoli specializzati: il Coordinator decide la strategia complessiva, il Planner traduce l’obiettivo in sotto-task concreti, il Researcher setaccia il web e interroga knowledge base RAG, il Coder scrive ed esegue codice Python in sandbox isolate, il Reporter assembla tutto in un output finale coerente — report di ricerca con citazioni, presentazioni slides, pagine web, analisi dati, perfino immagini e video. Ogni agente mantiene il suo contesto separato, la sua memoria persistente, i suoi strumenti dedicati, e il workflow è completamente trasparente: puoi seguire ogni passaggio e ogni decisione in tempo reale dalla web UI integrata. Non stiamo parlando di un esperimento accademico: è un’infrastruttura pensata per task che richiedono da minuti a ore di lavoro autonomo, esattamente il tipo di capacità per cui le aziende pagano abbonamenti a tre cifre alle piattaforme proprietarie della Silicon Valley.
Il pezzo forte — e il motore dell’esplosione su GitHub — è la flessibilità architetturale. DeerFlow è model-agnostic in modo radicale: funziona con qualsiasi LLM che implementi API compatibili OpenAI, il che significa che puoi collegarlo a GPT-4o, Claude di Anthropic, DeepSeek v3.2, Qwen di Alibaba, ai modelli Doubao di ByteDance stessa, o a un modello locale via vLLM e Ollama senza cambiare una riga di configurazione. Il deploy parte dal locale per lo sviluppo, scala con Docker per ambienti controllati, arriva fino a Kubernetes per chi ha bisogno di orchestrare decine di agenti in parallelo. Ci sono integrazioni con canali di messaggistica — Telegram, Slack, Feishu, WeChat — che trasformano DeerFlow in un bot a cui delegare task dalla stessa chat dove parli col team, e un sistema di skill estensibili che permette di aggiungere capacità custom con poche righe di Python. Memoria a lungo termine tra sessioni, integrazione con server MCP per strumenti esterni, tracciamento via LangSmith o Langfuse per il debug: tutto incluso, tutto configurabile, tutto MIT. Per chi ha già esplorato le alternative open source a GitHub Copilot, DeerFlow rappresenta un salto di categoria — non è un assistente al codice, è un sistema che ambisce a sostituire intere fasi del tuo flusso di lavoro.
Quello che distingue DeerFlow dagli altri framework di agenti AI — e ce ne sono parecchi, da AutoGPT a CrewAI — è l’approccio enterprise-ready con ambizioni da piattaforma completa. Il sistema di sandbox supporta tre livelli di isolamento — locale, Docker, Kubernetes — la modalità Gateway permette di embeddare il runtime direttamente nell’applicazione senza server separato, e le integrazioni con canali IM lo rendono raggiungibile come un collega virtuale sempre disponibile. ByteDance ha costruito internamente questo strumento prima di rilasciarlo al pubblico: non è nato come progetto open source da garage, è stato aperto dopo essere stato validato nelle pipeline interne di una delle aziende tech più grandi del pianeta. Questo è un vantaggio tecnico reale — il codice ha già visto la produzione — ma è anche un campanello d’allarme che vale la pena ascoltare: il software che usi nasce dalle esigenze di ByteDance, non dalle tue. E le priorità di chi lo mantiene non sono necessariamente allineate con quelle di chi lo usa.
Un dettaglio che dice molto sulla strategia dietro al progetto. La versione 2.0 non è un aggiornamento incrementale — è una riscrittura completa, da zero, con architettura ripensata e documentazione rifatta da capo. ByteDance non sta giocando a rilasciare un side project per farsi bella davanti alla community: sta investendo risorse ingegneristiche serie, con quasi duemila commit e centinaia di pull request, per competere direttamente con le alternative proprietarie occidentali. Lo fa con un’arma che le startup della Valley non possono replicare facilmente — il prezzo zero unito alla potenza di fuoco ingegneristica di un’azienda che vale oltre 300 miliardi di dollari. Mentre Copilot ti chiede 19 dollari al mese e Cursor vende piani enterprise, DeerFlow è lì, MIT, gratis, con un’architettura che regge il confronto tecnico punto per punto. La domanda scomoda è se quel prezzo zero non nasconda costi di tutt’altra natura.
ByteDance e il paradosso dell’open source
La mossa di ByteDance con DeerFlow non è un caso isolato ma il tassello di una strategia geopolitica precisa. L’azienda cinese sta rilasciando codice open source a un ritmo aggressivo: oltre a DeerFlow ha aperto Coze Studio e Coze Loop — i componenti centrali della sua piattaforma di sviluppo agenti AI — e mantiene decine di repository attivi su GitHub. È un pattern che si consolida tra le big tech cinesi: Alibaba con Qwen, DeepSeek con i suoi modelli aperti che hanno fatto tremare Wall Street, ora ByteDance con l’infrastruttura agente. Le tensioni tra Washington e Pechino rendono l’open source uno strumento diplomatico formidabile — il codice MIT è il modo più rapido per costruire credibilità internazionale, attirare contributori occidentali, creare un ecosistema che trascenda i muri geopolitici. Non è beneficenza: è geopolitica del software, e funziona maledettamente bene. Sessantaquattromila stelle in poche settimane sono una legittimazione che nessuna campagna PR potrebbe comprare a nessun prezzo.
Il rovescio della medaglia si chiama TikTok — e il contrasto è di quelli che bruciano. La stessa ByteDance che ti regala un agente AI con licenza permissiva gestisce una delle piattaforme più opache e invasive del pianeta. L’algoritmo di raccomandazione di TikTok — il vero motore dell’azienda, quello che genera miliardi di ricavi — è una scatola nera impenetrabile: nessun codice ispezionabile, nessuna trasparenza sulle logiche di profilazione, nessuna possibilità di audit indipendente su come vengono estratti e sfruttati i dati comportamentali di oltre un miliardo di utenti. La Software Freedom Conservancy lo ha detto senza mezzi termini: se il governo americano vuole davvero risolvere il problema TikTok, dovrebbe obbligare ByteDance a rilasciarne il codice come open source, non a metterlo all’asta come un cimelio. Nessuno ha raccolto l’idea, prevedibilmente — perché l’obiettivo della disputa tra Washington e Pechino non è la privacy degli utenti, è chi ha il diritto di sorvegliarli. DeerFlow aperto e TikTok chiuso non è una contraddizione: è la stessa strategia vista da due angolazioni, dove si apre ciò che conviene aprire e si blinda ciò che genera profitto vero.
Ed è qui che il cerchio si chiude. ByteDance rilascia DeerFlow come open source perché il valore non è nel framework — è nei dati e nei servizi che ci costruisci sopra. Il modello di business non cambia di una virgola: l’infrastruttura cloud Volcengine vende piani enterprise con modelli proprietari come Doubao-Seed integrati nel workflow DeerFlow, e ogni sviluppatore che adotta il framework diventa un potenziale cliente dell’ecosistema ByteDance. Il codice è aperto, ma il funnel commerciale punta dritto verso i servizi a pagamento dell’azienda. Ti suona familiare? Dovrebbe — è esattamente lo stesso schema per cui Linux domina i server del mondo ma i profitti finiscono ad AWS, Google e Microsoft. ByteDance non fa eccezione: fa scuola. Regala l’infrastruttura, monetizza tutto il resto. L’open source è il cortile anteriore — pulito, accogliente, con la licenza MIT bene in vista come un tappetino di benvenuto. Il retro, quello dove girano i soldi, resta chiuso a doppia mandata.
Il terminale è tuo, ma la fiducia no
Parliamo adesso di quello che succede quando dai a un agente AI l’accesso al tuo terminale, al tuo filesystem, alla tua rete — perché DeerFlow fa esattamente questo, e lo fa by design. Il sistema esegue comandi bash, scrive e legge file, effettua richieste HTTP, tutto dentro sandbox Docker che dovrebbero isolare l’ambiente di esecuzione dal resto della macchina. «Dovrebbero» è la parola chiave. Una vulnerabilità di sandbox escape è stata scoperta e patchata a inizio 2026 — il che dimostra che il team è reattivo nel correggere, ma anche che la superficie d’attacco è concreta, non accademica. Un developer su Reddit l’ha sintetizzato con una lucidità che fa male: dare a un LLM pieni poteri sul tuo terminale è «un psyop», anche dentro un container. Il file SECURITY.md del progetto raccomanda di limitare il binding a localhost, isolare il sandbox dalla rete locale, e per i deploy in produzione trattare DeerFlow come qualsiasi servizio con capacità di esecuzione remota di codice — isolamento di rete, permessi minimi, monitoraggio costante. Non è roba che configuri in un pomeriggio di pioggia.
Ma il problema della fiducia va oltre il codice. ByteDance opera sotto la giurisdizione cinese, e questo non è un pregiudizio xenofobo — è un dato legale con conseguenze concrete. Le leggi sulla sicurezza nazionale obbligano le aziende cinesi a collaborare con le agenzie di intelligence quando richiesto, senza meccanismi di contestazione pubblici e senza possibilità di disclosure. Non significa che DeerFlow contenga backdoor: il codice è MIT, chiunque può ispezionarlo riga per riga, e la community lo sta facendo attivamente. Significa però che per organizzazioni in settori regolamentati — finanza, sanità, difesa, pubblica amministrazione — la provenienza del software è un fattore di rischio che nessuna licenza può neutralizzare da sola. Si crea così uno schema di adozione biforcato: gli sviluppatori individuali e le startup lo abbracciano per il potenziale tecnico, le enterprise e i governi lo trattano con diffidenza a prescindere dal merito. Il fatto che non esista nessun audit di sicurezza indipendente e pubblicamente documentato dell’ambiente di esecuzione non aiuta — finché non ci sarà, la fiducia resta un atto di fede, non una valutazione informata.
La questione più profonda, però, riguarda il potere e la governance. DeerFlow è open source — il codice è pubblico e la licenza MIT ti dà ogni diritto di forkarlo, modificarlo, ridistribuirlo. Ma la direzione del progetto resta saldamente nelle mani di ByteDance: la roadmap, le priorità, le decisioni architetturali sono decise internamente, e i contributori esterni possono proporre ma non decidere. È il modello dell’open source corporate che conosciamo fin troppo bene — e che abbiamo visto implodere ogni volta che gli interessi aziendali divergono da quelli della community. Redis, Elasticsearch, HashiCorp: le licenze cambiano quando il vento gira, e MIT oggi non garantisce MIT domani. Forkare un progetto con duemila commit e un’architettura a cinque agenti non è come copiare un file — è un investimento enorme che pochissimi team possono permettersi. Chi costruisce il proprio workflow attorno a DeerFlow si lega alle decisioni di un’azienda il cui core business non è il software libero ma la monetizzazione dell’attenzione e dei dati di miliardi di persone.
Sarebbe intellettualmente disonesto, però, ridurre DeerFlow a un’operazione di facciata con licenza MIT allegata. Il codice è lì, è solido, è utilizzabile e forkabile oggi stesso. Per chi sa cosa sta facendo — e sa come isolare, monitorare e controllare un sistema con accesso al terminale — DeerFlow offre capacità reali che altrimenti richiederebbero abbonamenti costosi a piattaforme proprietarie che non sono esattamente campioni di trasparenza neanche loro (chiedi a Microsoft com’è messo il suo cloud, se hai voglia di deprimerti). Il vero errore sarebbe abbracciarlo con entusiasmo acritico o rifiutarlo con pregiudizio ideologico senza aver letto una riga di codice. La licenza MIT ti dà il diritto di verificare — esercitalo, perché quel diritto è l’unica cosa di cui puoi fidarti davvero.
DeerFlow è tecnicamente uno dei progetti open source più ambiziosi del 2026. L’architettura multi-agente, il supporto multi-modello, la possibilità di girare interamente in locale senza mandare un singolo byte a server che non controlli — tutto questo è reale, funziona, e costa zero. Ma la tecnologia non esiste nel vuoto: nasce dentro relazioni di potere, serve interessi precisi, porta con sé le contraddizioni di chi la produce. ByteDance regala il codice dell’agente AI e tiene sotto chiave l’algoritmo che modella il comportamento di un miliardo di persone. Non è ipocrisia — è strategia pura, lucida, calcolata.
Se vuoi usare DeerFlow, il consiglio è semplice: self-host, audita, isola, monitora. Forka il repository se vuoi garanzie di continuità. Eseguilo su macchine tue, in reti tue, con modelli che controlli tu. E soprattutto non confondere una licenza MIT con una garanzia di libertà — la libertà del software va costruita e verificata ogni giorno, non assunta sulla fiducia. Il codice è aperto. La domanda vera è se siamo abbastanza aperti anche noi, da guardarlo con occhi critici prima di dargli le chiavi del nostro terminale.